HTTP：超文字傳輸協議 ； 埠號：80 ；OSI 七層模型中工作在應用層

HTTPS=HTTP+SSL 更安全，抓包得做修改（需要匯入SSL證書） ； 埠號： 443； 0SI七層模型中工作在傳輸層； 會對輸的資料進行加密

HTTP的組成三部分：請求行+訊息報頭+請求正文

burpsuit：

抓包軟體，攔截HTTP請求和響應（響應需要單獨設定）

老版本burp抓包需要設定代理（推薦瀏覽器火狐和谷歌），新版本burp有自帶的瀏覽器，不用單獨設定代理。（單獨設定代理的話，在不抓包時需要關閉，比較麻煩）

谷歌設定代理：

谷歌設定代理會跳到計算機設定介面，對計算都做代理設定

新版本burp直接使用Open Browser 開啟其自帶瀏覽器：

先點選intercept is on，再瀏覽器裡輸入想抓包的地址—訪問，就可以抓到包了。

使用新版burp的話，其他瀏覽器內容不會對抓包造成干擾。

抓到包後，http請求被攔截，點選Forward，才會放行該請求

若要抓取響應包：右鍵選擇

選擇後，就會自動抓取返回的響應包了

請求行

Method Request-URI HTTP-Version CRLF

Method請求方法 ：GET：請求獲取Request-URI資源 \ POST：表單資料提交（最常用的兩個請求）、HEAD(響應資訊不完整，但速度快，御劍)、PUT、DELETE、OPTIONS

Request-URI：包含url地址

HTTP-Version：http版本

CRLF：表示回車和換行

訊息報頭

User-Agent：發出請求的使用者資訊（指系統版本、瀏覽器版本等資訊）

Accept：請求報頭域用於指定客戶端接受哪些型別的資訊；eg：Accept：image/gif，表面客戶端希望接受GIF影象格式的資源；Accept：text/html，表面客戶端希望接受html文字。

Referer：告訴伺服器我是從哪個頁面連結過來的。（做了限定以後，可以預防跳轉漏洞）

Cookie：身份憑證（）

HTTP響應包

狀態行、訊息報頭、響應正文組成

HTTP-Version ： Status-Code Reason-Phrase CRLF

Status-Code： 表示伺服器發回的響應狀態碼（404，200等訪問成功沒有的碼）

Reason-Phrase：表示對狀態碼的描述

常見的狀態碼：

200：請求成功

400：客戶端請求語法有錯誤，不被伺服器理解

403：伺服器收到請求，但是拒絕提供服務（許可權不夠）

404：訪問的頁面不存在

500：伺服器發生不可預期的錯誤

503：服務崩了，一段時間可能恢復

302：重定向，跳轉到其他網址

常見的響應報頭

Server.web 伺服器名稱

Set-cookie 伺服器向客戶端傳送的資訊

Location 伺服器通過它告訴瀏覽器該去訪問哪個頁面，瀏覽器接收後會立刻去訪問該頁面，通過配合302狀態碼可以形成跳轉漏洞。

響應正文一般是html程式碼